シェルスクリプトAIXで暗号化されたパスワードを使用する方法

シェルスクリプトAIXで暗号化されたパスワードを使用する方法

いくつかのタスクを実行するためにデータベースに接続するシェルスクリプトを作成しました。

これは私のサンプルコードです。

#!/usr/bin/ksh
. /home/ram/.profile

sqlplus username/pwd@TNS<<EOF
select sysdate from dual;
exit;
EOF

私のシステムでこのコードを使用してAIXいます。パスワード暗号化します。

シェルにコマンドがありますか?cryptコマンドにセキュリティ上の問題があると聞きました。

crypt(1) 暗号化を解除するプログラムはどこでも使用できます。 1984年から1985年に作成されたBob BaldwinのCrypt Breaker's Workbench [2]は、ユーザーが変更する必要がある継続的なプレーンテキスト推測を提供するインタラクティブツールです。 Peter Selingerのunixcrypt-breaker [3]は、単純な統計モデルを使用して合理的なプレーンテキストを推測し、ユーザーの対話を必要としません。(源泉 -ウィキペディア)。

AIXでcryptコマンドを試しましたが、エラーが発生します。

[shell-ksh]$uname    
AIX
[shell-ksh]$crypt
ksh: crypt: command not found
[shell-ksh]$echo $SHELL
/usr/bin/ksh

シェルでパスワードを暗号化する安全な方法があるかどうか疑問に思います。

答え1

oracle password repositoryシェルスクリプトでパスワードをハードコーディングする代わりに、シェルスクリプトで使用できます。

このツールは、単純なファイルを使用して暗号化されたパスワードを保存します。他の人がアクセスできないようにこのファイルを保護できます。ツールを見つけることができますここ。以下では、ツールのインストール手順を確認できます。ここ

答え2

あなたのuserandがandpassに保存されているとします。user.txtpass.txt

暗号化:

$ openssl aes-256-cbc -salt -in user.txt -out user.txt.enc -pass file:pass.txt

解毒:

$ openssl aes-256-cbc -d -salt -in user.txt.enc -out user.txt.dec -pass file:pass.txt

より安全な暗号化のために、独自の複雑なソルトを試すことができます-S "your complex string"。しかし、これはおそらくほとんどの目的に十分でしょう。

答え3

あなたは使用を検討することができますSSHトンネル。ローカルポートでリッスンするようにデータベースを設定し、ユーザーがパスワードなしでそのポートに接続できるようにした後(127.0.0.1を除く特定のインターフェイスのすべての接続を拒否)、SSHを使用してそのポートのトンネルをネゴシエートできます。その後、なりすましが困難でハードコードされたパスワードを持たない証明書認証を使用してSSHに接続できます。このスクリプトをcronジョブで実行する必要がある場合は、nologinシェルを使用して実行されているサービスアカウントで実行できます。

この時点で、あなたの興味はSSHキー管理であり、役に立つ多くのツールがあります。これ。ローカルで秘密鍵を取得できる唯一の人は、rootアクセス権を持つユーザーです。この場合、暗号化されたパスワードストアもそれらから安全ではありません。

もう1つの利点は、コードが実装されているシステムの外部にコードが漏洩した場合、スクリプトからコンテンツを抽出できない代わりに、スクリプトをリモートバージョン管理に配置することができ、認証は実装の詳細に委ねられることです。

一部のデータベースはすでに証明書認証(Postgresqlなど)をサポートしていますが、SSHトンネルを使用するとコマンドラインクライアントを持つすべてのデータベースで機能します。私はこれをMySQLとPostgresqlのスクリプトバックアップに使用しましたが、本当に魅力的でした。

答え4

私は同様の問題に遭遇し、暗号化された秘密をシェルスクリプトに保存するシンプルで安全なソリューションが欲しかった。私が思いついた最善の解決策は、暗号化されたパスワードをユーザーのホームディレクトリに保存してからスクリプトから読み取ることです。コンピュータのrootユーザーはこれらの秘密にアクセスできますが、そうでない場合は安全です。これは、資格情報を公開せずにコードストアにスクリプトを配布または保存できるという利点があります。

このソリューションは、当社のために時間の経過とともに発展しました(Plyint -https://plyint.com)考える。シェルスクリプトをダウンロードできます。encpass.sh、githubからhttps://github.com/plyint/encpass.sh

デフォルトでは、実行するアクションは、各スクリプト(またはカスタムバケット)に対してAES 256ビットキーを生成し、フォルダにアクセスするためにユーザーだけがアクセスできるホームディレクトリの下の隠しフォルダにそのスクリプトのすべての秘密を暗号化します。することです。 。また、鍵を使用しないときに鍵自体をパスワードで暗号化するロックコマンドも提供します。

以下に貼り付けたコードは圧縮バージョンですが、githubからフルバージョンをダウンロードできます。 MITライセンスを保有しており、商業環境での使用および配布が可能です。

 #!/bin/sh
 ################################################################################
 # Copyright (c) 2020 Plyint, LLC <[email protected]>. All Rights Reserved.
 # This file is licensed under the MIT License (MIT). 
 # Please see LICENSE.txt for more information.
 # 
 # DESCRIPTION: 
 # This script allows a user to encrypt a password (or any other secret) at 
 # runtime and then use it, decrypted, within a script.  This prevents shoulder 
 # surfing passwords and avoids storing the password in plain text, which could 
 # inadvertently be sent to or discovered by an individual at a later date.
 #
 # This script generates an AES 256 bit symmetric key for each script (or user-
 # defined bucket) that stores secrets.  This key will then be used to encrypt 
 # all secrets for that script or bucket.  encpass.sh sets up a directory 
 # (.encpass) under the user's home directory where keys and secrets will be 
 # stored.
 #
 # For further details, see README.md or run "./encpass ?" from the command line.
 #
 ################################################################################

 encpass_checks() {
    [ -n "$ENCPASS_CHECKS" ] && return

    if [ -z "$ENCPASS_HOME_DIR" ]; then
        ENCPASS_HOME_DIR="$HOME/.encpass"
    fi
    [ ! -d "$ENCPASS_HOME_DIR" ] && mkdir -m 700 "$ENCPASS_HOME_DIR"

    if [ -f "$ENCPASS_HOME_DIR/.extension" ]; then
        # Extension enabled, load it...
        ENCPASS_EXTENSION="$(cat "$ENCPASS_HOME_DIR/.extension")"
        ENCPASS_EXT_FILE="encpass-$ENCPASS_EXTENSION.sh"
        if [ -f "./extensions/$ENCPASS_EXTENSION/$ENCPASS_EXT_FILE" ]; then
            # shellcheck source=/dev/null
          . "./extensions/$ENCPASS_EXTENSION/$ENCPASS_EXT_FILE"
        elif [ ! -z "$(command -v encpass-"$ENCPASS_EXTENSION".sh)" ]; then 
            # shellcheck source=/dev/null
            . "$(command -v encpass-$ENCPASS_EXTENSION.sh)"
        else
            encpass_die "Error: Extension $ENCPASS_EXTENSION could not be found."
        fi

        # Extension specific checks, mandatory function for extensions
        encpass_"${ENCPASS_EXTENSION}"_checks
    else
        # Use default OpenSSL implementation
        if [ ! -x "$(command -v openssl)" ]; then
            echo "Error: OpenSSL is not installed or not accessible in the current path." \
                "Please install it and try again." >&2
            exit 1
        fi

        [ ! -d "$ENCPASS_HOME_DIR/keys" ] && mkdir -m 700 "$ENCPASS_HOME_DIR/keys"
        [ ! -d "$ENCPASS_HOME_DIR/secrets" ] && mkdir -m 700 "$ENCPASS_HOME_DIR/secrets"
        [ ! -d "$ENCPASS_HOME_DIR/exports" ] && mkdir -m 700 "$ENCPASS_HOME_DIR/exports"

    fi

   ENCPASS_CHECKS=1
 }

 # Checks if the enabled extension has implented the passed function and if so calls it
 encpass_ext_func() {
   [ ! -z "$ENCPASS_EXTENSION" ] && ENCPASS_EXT_FUNC="$(command -v "encpass_${ENCPASS_EXTENSION}_$1")" || return
    [ ! -z "$ENCPASS_EXT_FUNC" ] && shift && $ENCPASS_EXT_FUNC "$@" 
 }

 # Initializations performed when the script is included by another script
 encpass_include_init() {
    encpass_ext_func "include_init" "$@"
    [ ! -z "$ENCPASS_EXT_FUNC" ] && return

    if [ -n "$1" ] && [ -n "$2" ]; then
        ENCPASS_BUCKET=$1
        ENCPASS_SECRET_NAME=$2
    elif [ -n "$1" ]; then
        if [ -z "$ENCPASS_BUCKET" ]; then
          ENCPASS_BUCKET=$(basename "$0")
        fi
        ENCPASS_SECRET_NAME=$1
    else
        ENCPASS_BUCKET=$(basename "$0")
        ENCPASS_SECRET_NAME="password"
    fi
 }

 encpass_generate_private_key() {
    ENCPASS_KEY_DIR="$ENCPASS_HOME_DIR/keys/$ENCPASS_BUCKET"

    [ ! -d "$ENCPASS_KEY_DIR" ] && mkdir -m 700 "$ENCPASS_KEY_DIR"

    if [ ! -f "$ENCPASS_KEY_DIR/private.key" ]; then
        (umask 0377 && printf "%s" "$(openssl rand -hex 32)" >"$ENCPASS_KEY_DIR/private.key")
    fi
 }

 encpass_set_private_key_abs_name() {
    ENCPASS_PRIVATE_KEY_ABS_NAME="$ENCPASS_HOME_DIR/keys/$ENCPASS_BUCKET/private.key"
    [ ! -n "$1" ] && [ ! -f "$ENCPASS_PRIVATE_KEY_ABS_NAME" ] && encpass_generate_private_key
 }

 encpass_set_secret_abs_name() {
    ENCPASS_SECRET_ABS_NAME="$ENCPASS_HOME_DIR/secrets/$ENCPASS_BUCKET/$ENCPASS_SECRET_NAME.enc"
    [ ! -n "$1" ] && [ ! -f "$ENCPASS_SECRET_ABS_NAME" ] && set_secret
 }

 encpass_rmfifo() {
    trap - EXIT
    kill "$1" 2>/dev/null
    rm -f "$2"
 }

 encpass_mkfifo() {
    fifo="$ENCPASS_HOME_DIR/$1.$$"
    mkfifo -m 600 "$fifo" || encpass_die "Error: unable to create named pipe"
    printf '%s\n' "$fifo"
 }

 get_secret() {
    encpass_checks
    encpass_ext_func "get_secret" "$@"; [ ! -z "$ENCPASS_EXT_FUNC" ] && return

    [ "$(basename "$0")" != "encpass.sh" ] && encpass_include_init "$1" "$2"

    encpass_set_private_key_abs_name
    encpass_set_secret_abs_name
    encpass_decrypt_secret "$@"
 }

 set_secret() {
    encpass_checks

    encpass_ext_func "set_secret" "$@"; [ ! -z "$ENCPASS_EXT_FUNC" ] && return

    if [ "$1" != "reuse" ] || { [ -z "$ENCPASS_SECRET_INPUT" ] && [ -z "$ENCPASS_CSECRET_INPUT" ]; }; then
        echo "Enter $ENCPASS_SECRET_NAME:" >&2
        stty -echo
        read -r ENCPASS_SECRET_INPUT
        stty echo
        echo "Confirm $ENCPASS_SECRET_NAME:" >&2
        stty -echo
        read -r ENCPASS_CSECRET_INPUT
        stty echo

        # Use named pipe to securely pass secret to openssl
        fifo="$(encpass_mkfifo set_secret_fifo)"
    fi

    if [ "$ENCPASS_SECRET_INPUT" = "$ENCPASS_CSECRET_INPUT" ]; then
        encpass_set_private_key_abs_name
        ENCPASS_SECRET_DIR="$ENCPASS_HOME_DIR/secrets/$ENCPASS_BUCKET"

        [ ! -d "$ENCPASS_SECRET_DIR" ] && mkdir -m 700 "$ENCPASS_SECRET_DIR"

        # Generate IV and create secret file
        printf "%s" "$(openssl rand -hex 16)" > "$ENCPASS_SECRET_DIR/$ENCPASS_SECRET_NAME.enc"
        ENCPASS_OPENSSL_IV="$(cat "$ENCPASS_SECRET_DIR/$ENCPASS_SECRET_NAME.enc")"

        echo "$ENCPASS_SECRET_INPUT" > "$fifo" &
        # Allow expansion now so PID is set
        # shellcheck disable=SC2064
        trap "encpass_rmfifo $! $fifo" EXIT HUP TERM INT TSTP

        # Append encrypted secret to IV in the secret file
        openssl enc -aes-256-cbc -e -a -iv "$ENCPASS_OPENSSL_IV" \
            -K "$(cat "$ENCPASS_HOME_DIR/keys/$ENCPASS_BUCKET/private.key")" \
            -in "$fifo" 1>> "$ENCPASS_SECRET_DIR/$ENCPASS_SECRET_NAME.enc"
    else
        encpass_die "Error: secrets do not match.  Please try again."
    fi
 }

 encpass_decrypt_secret() {
    encpass_ext_func "decrypt_secret" "$@"; [ ! -z "$ENCPASS_EXT_FUNC" ] && return

    if [ -f "$ENCPASS_PRIVATE_KEY_ABS_NAME" ]; then
        ENCPASS_DECRYPT_RESULT="$(dd if="$ENCPASS_SECRET_ABS_NAME" ibs=1 skip=32 2> /dev/null | openssl enc -aes-256-cbc \
            -d -a -iv "$(head -c 32 "$ENCPASS_SECRET_ABS_NAME")" -K "$(cat "$ENCPASS_PRIVATE_KEY_ABS_NAME")" 2> /dev/null)"
        if [ ! -z "$ENCPASS_DECRYPT_RESULT" ]; then
            echo "$ENCPASS_DECRYPT_RESULT"
        else
            # If a failed unlock command occurred and the user tries to show the secret
            # Present either a locked or failed decrypt error.
            if [ -f "$ENCPASS_HOME_DIR/keys/$ENCPASS_BUCKET/private.lock" ]; then 
            echo "**Locked**"
            else
                # The locked file wasn't present as expected.  Let's display a failure
            echo "Error: Failed to decrypt"
            fi
        fi
    elif [ -f "$ENCPASS_HOME_DIR/keys/$ENCPASS_BUCKET/private.lock" ]; then
        echo "**Locked**"
    else
        echo "Error: Unable to decrypt. The key file \"$ENCPASS_PRIVATE_KEY_ABS_NAME\" is not present."
    fi
 }

 encpass_die() {
   echo "$@" >&2
   exit 1
 }
 #LITE

関連情報